• [^] # Re: Firestarter

    Posté par . En réponse au journal "j'me sens plus en secu sous win" j'ai pas pu lui repondre. Évalué à 10.

    C'est une injection en mémoire (OpenProcess, WriteProcessMemory, CreateRemoteThread), donc l'exécutable sur le disque ne change pas. Les Firewalls Persos ne vérifient pas le md5 en mémoire, sinon, le controle échouerait à chaque changement de la mémoire du processus (variables, ect...).
    Par contre, un driver au niveau du kernel win32 pourrait empêcher cette injection en interdisant l'appel aux fonctions de l'API windows ci dessus, avec un système de whitelist par exemple. Sygate PF implémente partiellement ça, mais uniquement contre les injections les plus basiques (et aux dernières nouvelles c'était pas activé par défaut).